プライバシーマーク 11 内部規程(ルール）を作る

これまでに実施すると決めた事を内部規程としてルール化します。

ＰＭＳは自社のマネジメントシステムの為、会社の事業、業種、規模、ＩＳＯ等のマネジメントシステムとの整合性を確保をしなければなりません。
この為に、ＰＭＳは実効性があり、組織の身の丈にあったものにしなければなりません。
そうしないと、PMSの運用に無理が生じてしまいます。
内部規程は、雛型の販売がされています。
雛型を購入し、参考にするのは構いませんが、そのまま自社のPMSに導入する事はお勧めが出来ません。
何故なら、その雛型が、どんな規模の会社でも、どんな業種の会社でも合うとは限らないからです。
例えば、１０人規模の会社でPMSを構築運用する場合と、３００人規模の会社でPMSを構築する場合では、必要にな規程も内容も全く違ってきます。
参考にする程度で活用してください。


また、内部規程はルールです。
内部規程（ルール）を先に作り、内部規程（ルール）に合わせて組織を作るのではなく、組織の実態に合わせて内部規程（ルール）を作ります。
内部規程は、ルールですので、会社にとって最も運用しやすい構成で作成する事が、ＰＭＳを運用する上で重要になります。

ＰＭＳを実施するにあたり、JIS Q 15001の規格の定めにより、最低限規程化する必要があります。

全ての従業者が内部規程を遵守し、個人情報保護を実現する為には、具体的な手順や手段を詳細に規定する必要があります。
従業者の判断に任せる様な曖昧な記述は、ルールの破綻を呼び込む事になるので注意してください。

必要であれば、規程の附則として手順書等を作成し、各部署により、細かく手順を定める必要があります。


また規格では、どこに何があり、容易に参照できるものとしていますので、配慮が必要になります。

ＩＳＯは無駄ですよね

ＩＳＯは無駄と考えていらっしゃる方も多くいます。

何故無駄と判断するか？

それは、
ＩＳＯは機能しない。
ＩＳＯはめんどくさい。
ＩＳＯに時間がとられ過ぎる。
ＩＳＯをやると書類が多くなる。
ＩＳＯをやっても不良が減らない。
ＩＳＯをやっても売り上げが伸びない。
ＩＳＯをやってもコストダウンにならない。
ＩＳＯをやっても顧客との関係がうまくいかない。
ＩＳＯはお飾り。
ＩＳＯをやっている会社を知っているが、いい話を聞かない。
ＩＳＯをやっている会社の社長や社員からは愚痴しか聞こえない。

これらの考えは、正論です。
全くＩＳＯは無駄ですよね。
でもこれって、業績の良い企業でＩＳＯをやっている会社の経営者の話からは聞こえてこないのですよ。

上手く機能していない話ばかりを聞けば、周りもＩＳＯなんてやってもなぁという考えになってしまいます。

実際にうまくいっている会社の社長や社員はＩＳＯについて話そうとしません。
上手くいっている。
業績が上がった。
ブラックボックスが無くなった。
顧客との関係が変化した。
不良が減った。
社内のコミュニケーションが円滑になった。
外注管理が見違えるようになった。
コストダウンがうまくいった。
経営の改善が出来た。

こんな話をしてしまうと、ライバル会社に話が漏れてしまって、じゃあうちもＩＳＯ取り入れてみようとなってしまいます。

上手く行っていても、話を合わせて、上手く行って居ない振りをしてしまう。

だってライバル会社を強くしたくないから。

当然コンサルタントに対する風当たりも強く、何故高い金を払わなければいけないのかとなります。

高いコンサルタントにはそれなりの理由があり、安いコンサルタントにもそれなりの理由があります。

ＩＳＯは不要という考えは、周りの状況、コンサルタントの質、実際に取り組んで効果が出ない。

それは仕方ない考え方です。

ただし、今のままの会社の経営状態で今後も存続出来るのか？

他に手段があるのか？

今のままでいいのか？

ＩＳＯよりも経営コンサルタントの方がいいのか？

そもそもコンサルタントなんて効果が出るのか？

会社を食い散らす存在ではないのか？

でも、今のままではジリ貧だ。

どうしよう？

そういう時にＩＳＯは役に立ちます。

まずはコンサルタントに話を聞いてみて下さい。

そこで無駄だと思うか、やってみようと言う気になるか。

コンサルタントの話を聞く場合にも注意点はありますから、そこを注意して話を聞いてみて下さい。

それから判断しても遅くは無いと思います。

プライバシーマーク 10-1 各規程を作る前に作る規程 記録管理規程

ＪＩＳ　Ｑ　15001が要求している記録は

個人情報の特定
法令、国が定める指針及びその他の規範の特定
個人情報のリスクの認識、評価及び対策
目標及び計画書
利用目的の特定
開示対象個人情報に関する開示等の求めへの対応
教育実施
苦情及び相談への対応
監査報告書
是正処置及び予防処置
代表者による見直し

の記録が要求されています。

この他に組織が必要とした記録です。

最低限これらの記録を取りますが、

実際に必要になってくる記録は細分化されます。

教育訓練実施記録票
個人情報調査票
委託先評価票
内部監査員資格認定台帳
苦情相談受付記録票
教育・訓練計画表
個人情報保護管理台帳
文書管理台帳
外部文書台帳
ライフサイクルに基づく分析表
教育・訓練計画進捗管理表
文書プリントアウト申請書
個人情報開示請求書
個人情報訂正等請求書
個人情報収集・利用・提供・管理内容通知書並びに同意書
クライアントＰＣ設定台帳
入退室記録台帳
内部監査年間計画書兼進捗管理表
施錠解錠管理簿
鍵管理簿
新規（新種）個人情報収集申請書
個人情報訂正・変更・確認票
受注票
アンケートはがき
ＦＡＸ注文書
利用者の声
個人情報外部記録媒体記録許可台帳
サーバーログ記録
社内アクセスログ記録
PC・ＵＳＢ持ち出し申請書
内部監査計画書
内部監査報告書
予防処置計画書件報告書
クライアントＰＣ定期検査記録
貸与品回収リスト
得意先台帳

等など。

これらの記録についての使用の仕方、管理の方法、保管場所、管理者、保管期間等を定めます。

記録については客観的証拠となる為に、改ざん出来ないルール作りを盛り込む必要があります。

検索を容易にするように決める必要性もあります。

ＩＳＯは経営的にやる余裕がないって本当？

良く経営陣や社長をやっているらっしゃる方で「ＩＳＯはやる意味がない」「経営的にＩＳＯをやる余裕がない」「不景気で、そんな余裕がない」「何の役にたつんだ？」

こう考えている経営陣や社長さんも多くあると思います。

確かに今は余計な出費は手控えたい。

ＩＳＯなんて、わけのわからないコンサルタントに回す金があるなら、経営コンサルタントに頼むよ。

でもちょっと待ってください、その経営コンサルタントは、経営を改善する為に何をするのか、どんなツールを使うのか考えた事があるでしょうか？

経営コンサルタントにもよりますが、多くはＩＳＯ9001の考え方をもとにしています。

ＰＤＣＡを回しましょう。

業務を見えるようにしよう。

社員の教育をしましょう。

顧客との関係はどうなっていますか？

等など・・・。

ＩＳＯ9001でやりましょうと言っている事です。

経営コンサルタントもツールとしてＩＳＯ9001を使っています。

それプラス、その会社に必要な事（ＩＳＯ9001で書いていない事や軽く流しているところ、文書化しろ、記録を取れと言っていない所）を指導します。

それならば、同じやるのであれば、ＩＳＯ9001やっても良いのではないでしょうか？

売上が下がり、仕事も暇になってきた。余分な金は避けたい。

そんな時こそチャンスです。

そんな時に徹底した組織固めをする時です。

今の仕事を一度、分解して、点検して、再構築する。

良いところは残し悪いところは削る。

取り入れるところはとりいれる。

経営を改善する為に、徹底的に検証しましょう。

何が経営を悪くしているのか、どこの手順がまずいのか、合理化や自動化できないか。

チェックする人間のスキルはどうなのか？

クライアントとの関係はどうなっているのか？

業務でブラックボックスになっていないか？

なんで不良が多いのだろう。

なんで返品が多いのだろう。

何故この仕事はとれなかったのか。

何故社員のモチベーションが低いのか？

何故会社が活性化しないのか？
会議で自主的に発言しないのは何故なんだ？自分の意見が無いのか？言っても無駄だと思っているのか？言っても上司にまた潰されると思っているのか？

現状直面している問題があるのであれば、解決しなければならない。

しかしもう色々と手は尽くしている。

ならば、ＩＳＯをツールとして使ってみましょう。

良いコンサルタントに出合えれば、会社は劇的に改善します。

プライバシーマーク 10 各規程を作る前に作る規程 文書管理規程

内部規程を作る前にまず、文書管理規程を作ります。

何故文書管理規程を先に持ってくるかといいますと、文書化しなければならないものの共通ルールだからです。

それぞれの内部規程を作ってもバラバラでは二度手間。

それを防止する為に、文書化の共通ルールを先に作ります。

記録については別途記録管理規程を作ります。

文書管理規程で決める事は、文書体系と文書の管理方法。

文書体系は
個人情報保護方針
個人情報保護マニュアル
各規程
各記録様式
引用文書
外部文書
計画書・リスト

に分かれます。

これは組織で必要な部分と必要でない部分、統合してしまう部分があります。

文書の管理方法のルール作りは、

文書の作成・改定について定めます。

最新版の管理の方法と配布方法について定めます。

旧版の回収方法について定めます。

改定内容と版数が正しいくなるようにルールを決めます。

文書の使用時の注意や保管方法を決めます。


台帳やリストについても同様にルールを決めます。

プライバシーマーク 09-03 資源、役割、責任及び権限 現地審査でチェックされる事項 d) 事業者の各部門及び階層における個人情報を保護する為の権限及び責任に関する規程

審査項目
各担当の役割・権限を明確に定めている。


現地審査の着眼点
従業者にとって、各担当の役割、責任及び権限が明確である。


運用確認のエビデンス

• 各担当者の役割、責任及び権限が確認できる文書。
• 各担当者に任命している者を確認できる文書。

審査項目
個人情報保護管理者と個人情報保護監査責任者が同一人物でない。


現地審査の着眼点
個人情報保護管理者と個人情報保護監査責任者を同一人物が兼任していない。
兼任の場合不適合となる。理由：兼任の場合、マネジメントシステムが機能しない為。


運用確認のエビデンス

• 各担当者の役割、責任及び権限が確認できる文書。
• 各担当者に任命している者を確認できる文書。

審査項目
個人情報保護管理者は、代表者によって内部から指名している。

現地審査の着眼点
個人情報保護管理者は、代表者により内部から指名している。


運用確認のエビデンス

• 各担当者の役割、責任及び権限が確認できる文書。
• 各担当者に任命している者を確認できる文書。

審査項目
会社法上の監査役がPMS運用体制の一部を占めていない。

現地審査の着眼点
会社法上の監査役がPMS運用体制の一部を占めていない。
※会社法上の監査役がPMS運用体制の一部の役割（個人情報保護責任者、個人情報保護監査責任者等）を担当した場合、代表者の監督下に入る為、会社法第335条違反になる。
この場合、コーポレートガバナンスが出来ていないことになり、マネジメントシステム以前の問題になる。
当然ながら、法令上の罰則対象にもなり、PMS上も不適合となる。


運用確認のエビデンス

• 各担当者の役割、責任及び権限が確認できる文書。
• 各担当者に任命している者を確認できる文書。
• 登記事項証明書

審査項目
各担当者の役割と権限を周知させている。

現地審査の着眼点
各担当者の役割と権限を周知させている。
※体制図等を作成する場合、その役割が誰を示すのか社内的に理解できれば、氏名を記入する必要はない。


運用確認のエビデンス

• 各担当者の役割、責任及び権限が確認できる文書。
• 各担当者に任命している者を確認できる文書。

審査項目
個人情報保護管理者は、個人情報保護マネジメントシステムの見直し及び改善の基礎とする為に、事業の代表者に個人情報保護マネジメントシステムの運用状況を報告している。

現地審査の着眼点
個人情報保護管理者が個人情報保護マネジメントシステムの見直し及び改善の基礎とする為に、事業の代表者に個人情報保護マネジメントシステムの運用状況を報告している。
※この項目については、3.9事業者の代表者による見直しで審査されます。

プライバシーマーク 09-02 資源、役割、責任及び権限 文書審査でチェックされる事項 d) 事業者の各部門及び階層における個人情報を保護する為の権限及び責任に関する規程

審査項目
各担当の役割・権限を明確に定め文書化している。


文書審査の着眼点
各担当者の役割・権限を明確に定め、文書化している。
体制整備状況（教育責任者、問合せ対応責任者、システム担当者、部門毎の個人情報管理者、委員会、事務局など）に応じて、各担当者の責任及び権限を明確にしている。


審査項目
個人情報保護管理者は個人情報保護マネジメントシステムの見直し及び改善の基礎として事業の代表者に個人情報マネジメントシステムの運用状況を報告しなければならない旨を規定している。


文書審査の着眼点
個人情報保護マネジメントシステムの見直し及び改善の基礎として、事業の代表者に、個人情報保護マネジメントシステムの運用状況を報告しなければならない事を個人情報保護管理者の義務として記述している。

プライバシーマーク 09-01 資源、役割、責任及び権限 d) 事業者の各部門及び階層における個人情報を保護する為の権限及び責任に関する規程

規格では3.3.4　資源、役割、責任及び権限です。
個人情報保護マネジメントシステムを構築運用するにあたり、体制の整備をおこないます。
所謂、人・物・金・情報です。
これらを整える事により組織内での個人情報保護のための体制作りが出来るようになります。

規格の性質上次の担当者は必要だと考えられています。

• 個人情報保護管理者
• 個人情報保護監査責任者
• 教育担当者
• 監査員
• 問合せ担当者
• 苦情及び相談担当者
• 開示等の担当者

組織が大きければ、部門ごとに担当者を置くのも一つの手段です。
また兼任も認められていますので、改めて人を用意する必要はありません。
しかし、個人情報保護管理者は個人情報保護監査責任者の兼任は認められていません。
また、事業所の人数が少なく、やむを得ない場合を除き、個人方法保護管理者は監査員についても兼務できません。


監査役や会計参与について
会社法上の監査役が個人情報保護マネジメントシステムの運用上の一員になる事は、常に代表者の監督下に入る為、会社法第335条に違反する事になります。
委員会設置における監査委員（会社法第400条4項）、会計参与（会社法333条第3項第1号）も同様です。尚会計参与は会社法第324条により役員に含まれるため従業者です。
法律上の制限があるからという理由で、監査役や会計参与が個人情報マネジメントシステムに関与しないという事は誤りで、会社の取締役会と同様に委員会、監査報告会、マネジメントレビュー会議等に出席し、監査役の立場から意見陳述を述べる事は、適法性監査の点から望ましいことです。
監査役や、会計参与にはオブザーバー的な役割が求められます。
社外取締役を個人情報保護マネジメントシステムの運営上の一員に任命した場合は、当該事業の業務執行者のになる為、社外取締役ではなくなります（社内取締役が増員され、社外取締役が減員される）。

権限の委任について
ＪＩＳＱ15001では、事業の代表者や個人情報保護管理者に、承認を得る事が多くあります。
これはすべてが全て、代表者や個人情報保護管理者本人の承認を得なければならないという事ではありません。
事業に於いて、10,000円の決裁権と1,000,000円の決裁権は違ってきます。
ＰＭＳでも、案件により、代表者や管理者の権限を委任された人が承認をする事が出来ます。
ただしこの場合、明確に権限の委任について明記をしておく必要があります。
これはあくまで、組織の内側の問題であり、対外的にはすべて、組織の代表者の署名をしなければなりません。
したがって、「組織の代表者が知らない」では、お話になりません。

プライバシーマーク 08-8 個人情報のリスクの認識 分析及び対策 現地審査でチェックされる事項 c)個人情報に関するリスクの認識、分析及び対策の手順に関する規程

審査項目
目的外利用を行わない為、必要な対策を講じる手順を確立し、かつ、維持するように規定している。


●目的外利用を行わないための手順を実施している。

現地審査の着眼点
利用目的の特定3.4.2.1、利用に関する措置3.4.2.6に盛り込んでいる。



審査項目
洗い出された個人情報について、ライフサイクルに応じてリスクを洗い出し、リスク分析を実施し、リスクに応じた対策を講じ、残存リスクを把握する手順が明白である。


●定めた手順に従って、リスクを認識し、分析し、対策を講じる。

現地審査の着眼点
定めた手順に従い実施している。

運用確認のエビデンス
リスク分析表等、リスクの認識、分析及び対策を実施した記録


●個人情報毎のライフサイクルに従って、リスクを認識し、分析し、対策を講じ、残存リスクを把握している。

現地審査の着眼点

1. 個人情報を取り扱う業務の流れが明らかになっており、取り扱いの局面におけるリスクを具体的に認識している。
2. 立案した安全対策や把握した残存リスクをリスク分析表などに反映させ、かつ運用面で確認できる。
3. 認識したリスクと、対策の関連付けが明確である。（明確でなければ見直しが出来ない。）
4. 個人情報は取得および利用面での適正な取り扱いが求められる。情報資産を守るという観点からだけの、リスク認識、分析及び対策になっていない。
5. 個人情報の漏洩、滅失、毀損の他に、法令・国が定める指針等に対する違反等も必要に応じてリスクとして認識している。

運用確認のエビデンス
リスクの認識、分析及び対策を実施した記録


●リスク対策は事業者の代表者の決定している。

現地審査の着眼点
定めた手順に実施している。


●講じることとした対策は規程に反映させている。

現地審査の着眼点
講じることとした対策は規程化されている。

運用確認のエビデンス
リスク分析表、リスクの認識、分析及び対策を実施した記録と規程との対応



審査項目
定期的な見直し、及び必要に応じた随時の見直しの手順が明確である。

●定めた手順に従いリスクの見直しを実施している。

現地審査の着眼点
定めた手順に従い実施している。
リスクの見直しを定期的及び随時実施している。

注意：リスク分析表などを形式的に見直すのではなく、認識したリスク、対策、残存リスクが適切である事を確認する事が重要です。
例えば、事務所移転などを行っている場合、事務所移転と言うリスクが発生しているのでその時点で、リスクの見直しを臨時に行っていないと、審査で不適合になります。

運用確認のエビデンス
リスク分析表、リスクの認識、分析及び対策を実施した記録及びその更新履歴

ISOの取り組みは審査の為なのか、改善の為なのか

ISOは審査の為と改善の為？

審査の為にＩＳＯの業務を行う。ＩＳＯがうまく機能していない会社のほとんどが、意識してか、意識せずしてか、審査の為のＩＳＯ対応になってます。

看板だけ欲しい会社であれば、これでも構いませんね。

本来の業務とＩＳＯの業務と完全に区別してしまう。

そのかわり、実際にＩＳＯの業務を行う人たちは大変です。

余分な書類や記録を作らなければなりますから。

その為に、余計な残業や労力を使う事になります。

会社がその残業代を負担したり、労力に報いる事が出来るか？

そこは会社の判断です。

あくまで看板として割り切るなら、これでも構いませんが、

本来の業務への負荷を考えると、コンサルタントや便利屋にＩＳＯの業務を外注するのが一番効果的でしょう。

審査対応だけなので、受ける方も気持ちが楽です。

ただこの場合は、取得の際のコンサル費用に、年間顧問契約を結ばないとやってくれないでしょうね。

取得の際のコンサル費用が半年で１５０万円、半年で終わらない場合は追加として、月３０万、認証取得後の年間顧問契約料が月20万円ｘ12カ月位かな。

サーベランスや審査の前月は別途５０万円。

プラス、経費の実費（作成者や審査、承認の確認印、管理文書や非管理文書の判、プリントアウトする紙代、表示や識別のための材料、教育の為の資料等など）。

看板の為にこれだけ出せるのであれば、本来の業務とＩＳＯの業務の二重構造にしても問題は無いでしょう。

社員の負担は一気に減ります。

結構それくらいは軽く出せるよと言う会社は、多そう。

人一人雇うよりは安いですね。

あくまで看板の為にＩＳＯを取りたいと言う方向けですね。


改善のためにＩＳＯを行うのであれば、ＩＳＯをツールとして使うので、会社の業務をＩＳＯに合わせるのでなく、ＩＳＯを会社の業務に合わせる事になります。

当然本来の業務とＩＳＯの業務の２重構造にはならない為、会社の業務改善のためにＩＳＯが有効に働きます。

当然削るところは削り、肉を加えるところは肉を加えると言う事になります。

会社の経営改善は、各業務の改善である為、時間がかかり、従業者に理解してもらう為にも、時間がかかります。

しかし、会社全体の本気度が違う為、事務局や内部監査員のスキルの向上は計り知れません。

また改善のために、自分たちが何をやらなければならないかが、日常の仕事の中でも出てくるため、日常の業務が実はＩＳＯの業務だったと言う事になります。

後はうまく舵を取りＰＤＣＡを回して、徐々に会社のステージを上げていけばいいだけです。

ただし時間はかかります。

一度会社の業務を分解し、見直して、再構築する作業になります。

必要なものは残し、新たに付け加えるものは付け加え、削れるところは削る。

ＩＳＯの理解の為に、社員の招集も行わなければなりません。

その為に時間も取られてしまいます。

期間も１年以上はかかってしまうパターンが多くなります。

それだけの労力がどうしてもかかってしまいます。

費用はそれだけ濃密になると、半年で２００万位はかかってしまいます。

それでも、年間顧問契約料もなけれな、サーベランスや審査前の特別料金もありません。

ただし、年間顧問契約は導入して数年は結んだ方がいいです。

定期的に外部のチェックやトレーニングを受ける事により、外部の視点での問題点等が洗いだせます。

また、ＩＳＯは経営改善の手段・ツールですので、２か月に一度や３カ月に一度、又は１カ月に一度など手を入れたほうが良いです。

取るまでも大変ですが、取った後、放っておいては意味がありません。

メンテナンスをしなければなりません。

この場合の年間顧問契約料は年間１２０万位かな。

そこまで一緒になって経営改善につきあってくれるコンサルタントを見つける方が大変ですが。

プライバシーマーク 08-7 個人情報のリスクの認識 分析及び対策 規程に盛り込む最低限必要事項 c)個人情報に関するリスクの認識、分析及び対策の手順に関する規程

審査項目
目的外利用を行わない為、必要な対策を講じる手順を確立し、かつ、維持するように規定している。


●目的外利用を行わないための手順を実施している。

文書審査の着眼点
利用目的の特定3.4.2.1、利用に関する措置3.4.2.6に盛り込んでいる。



審査項目
洗い出された個人情報について、ライフサイクルに応じてリスクを洗い出し、リスク分析を実施し、リスクに応じた対策を講じ、残存リスクを把握する手順が明白である。


●定めた手順に従って、リスクを認識し、分析し、対策を講じる。

文書審査の着眼点
リスクの認識、分析及び対策を確実に実施できるよう手順を明確に記述している。
手順は以下の4点を明確に記述している。

1. 3.3.1により特定した個人情報のリスクをライフサイクル毎に洗い出す。
2. リスクの分析を実施する。
3. リスク分析について対策を講じる。
4. 残存リスクを把握する。

●リスク対策は事業者の代表者の決定している。

文書審査の着眼点
講じることとしたリスク対策について、事業の代表者又は事業の代表者の権限を委任されている者の承認を得て決定する手順を定めている。



審査項目
定期的な見直し、及び必要に応じた随時の見直しの手順が明確である。

●定めた手順に従いリスクの見直しを実施している。

文書審査の着眼点
具体的な時期を定めた定期的な、又は必要に応じて随時の見直しを確実に実施するように手順を明確に記述している。

社長や経営陣がＩＳＯの遂行に責任を持つ。

社長や経営陣がＩＳＯの遂行に責任を持つ。

社長や経営陣がＩＳＯに無関心では、ＩＳＯでの経営改善は全く機能しません。

社長や経営陣が、ＩＳＯがお荷物や無用の長物、無駄、役に立たない、本業とは別物、関心が無いでは、機能しません。

社長や経営陣がそのように考えていたり、公言していたら、それは部下や社員にも伝わります。

聞いたり、その事実を知った社員は、「何故社長や経営陣がそう思っているＩＳＯをやらなければならないのか」となってしまい、管理責任者、事務局、担当者は、手抜きをしたり、やる気を起こさなかったりします。

社長や経営者が、必要だからやる。重要だからやる。もうこれしか残ってないからやる。

固い決意が必要です。

また、会社の方向性と現在のシステムが乖離する様な事があれば、会社の方向性に合わせてシステムを変えなければなりません。

プライバシーマーク 08-6 規程への関連付けとリスク対策の周知

個人情報のライフサイクル毎に講じたリスク対策は、社内への周知と関連規程に反映を行い、リスクと関連付けた上で、誰もがいつでも参照できる状態にします。

リスク対策を社内へ周知徹底を繰り返す事により、従業者の意識も高まります。
これは定期的に教育する事にもつながります。
特に人的な残存リスクについては、教育が重要になります。

リスク対策を規程に反映するメリットとしては、

• 作業の度にリスク対策を読む事になる。
• 対策を意識付けする事が出来る。
• 内部監査に反映させやすい。

デメリットとしては、

• リスクの変更がある度に、規程など関連文書の変更が強いられる。

デメリットはありますが、細かく対応する事により、個人情報の流出や遺失、人的リスクに対する予防処置になります。

ＩＳＯ文書は自分たちの都合の良い様に作る。

ＩＳＯの文書は独自で作る。

事務局や担当者にとって、文書作りは苦労するものです。

どう作っていいか判らない。

そこで、市販の規程集や参考書、文書のサンプルが豊富なコンサルに頼んだりする場合が多くあります。

ここが、ＩＳＯがお荷物になる部分です。

自社に合ってない文書を使ったり、コピーしたりして使うと、自社の現状にあっていないもの、過度に重厚になってしまうもの、現場がそれに合わせると多大な負荷がかかるものになってしまいます。

そうすると、余計な規程や記録を作らなければいかなくなります。

必要のない規程や記録を作ってしまうので、マネジメントシステムが会社の負荷になり、お荷物となってしまうのです。

作らなければならない規程や記録は、会社によってそれぞれです。

必要な規程や記録は、ＩＳＯ9001：2008で要求している文書以外に作る必要があります。

必要のない文書は作る必要がありません。

その為には何をしなければならないか。

会社の現状を見直してください。

プライバシーマーク 08-5 残存リスクの把握と管理

全ての個人情報のリスクを確認し、対策を実行したとしても、リスクはまだ無くなりません。
現状で可能な限りの対策を講じた上でも、まだ未対応の部分が残ります。

未対応な部分が残存リスクとなります。
残存リスクを把握し管理します。

どのような管理を行うかは自由ですが、個人情報毎にまとめて管理する方法が一番最適と考えられます。

残存リスクの特徴として、「技術的な残存リスク」、「人的な残存リスク」、「物理的な残存リスク」が存在します。

「技術的な残存リスク」と「物理的な残存リスク」は、技術の進歩や資金の投入で解決する場合がありますが、「人的な残存リスク」は、人に由来してしまいます。

この「人的残存リスク」が、個人情報の持ち出しや流出に繋がる可能性が大きくあります。

プライバシーマーク 08-4 リスクの変動に対する定期的な見直しを行うために明文化する。

ＰＭＳプロジェクトチームは策定したリスク対策について、想定リスクとリスク対策を一つとして管理します。
この個人情報のリスク対策と想定リスクはこれだと言うふうにです。

また個人情報のライフサイクル毎にリスクを認識し、どのようなリスク対策講じたのかという観点で、ライフサイクル毎に、誰が、いつ、何をする事により、どのようなリスクが発生するのか、その対策は何なのかを明確にしておきます。

これを関連付ける事により、リスクの変化に対応する事が出来ます。
リスクは常に変動するものであるとの考えを持ってください。何故変化をするかと言いますと、業務内容の変化、業務環境の変化、人員の変化、業務フローの変化等、会社の業績を上げるために、常に会社は変化をしています。
いつまでも同じというわけではありません。

その為にリスクの変動に対する定期的な見直しを行うために関連付けを明確に明文化する必要性があるのです。

プライバシーマーク 08-3 取り得る最良の措置とは

プライバシーマーク　08-2　個人情報のリスクの認識及び対策　リスクの認識　c) 個人情報に関するリスクの認識、分析及び対策の手順に関する規程　では、合理的な対策と言う言葉が出てきまました。
合理的な対策とは、

個人情報の取扱いに関するリスクが明確に認識・分析・評価され、なお且つさまざまな予防処置が検討され、その中で取り得る最良の措置を講じる事です。

このように解説させていただきました。

この中で、取り得る最良の措置について少し補足します。

取り得る最良の措置とは、
現段階において、検討した様々な対策の中で、費用・構築の容易さ、運用の容易さ、効果等の観点から総合的に検討して、社長が最適と判断した対策が取りえる最良の措置です。

しかし安易に、決めるのではなく、いくつかの候補を上げて検討する必要があります。
これがレビューにもなり、エビデンスにもなる為、記録として保存しておいた方が無難です。
（ただしこれは、必須ではありませんが、審査員によっては審査の時に役立ちます）

またリスク対策は、一つだけとは限らず、複数の対策を組み合わせて対応できるものもあり、技術的対策、物理的対策、人的管理対策等から多角的に検討する必要があります。

プライバシーマーク 08-2 個人情報のリスクの認識 分析及び対策 リスク対策 c) 個人情報に関するリスクの認識、分析及び対策の手順に関する規程

それぞれの個人情報を洗い出して、認識したリスクについて、リスクのもとになる脅威（原因）、発生の可能性（脆弱性）、発生した場合の影響を分析して評価を行い、その結果に応じた合理的な対策を検討する事になります。

プライバシーマーク　08-1　個人情報のリスクの認識及び対策　リスクの認識　c)個人情報に関するリスクの認識、分析及び対策の手順に関する規程の帳票の右側を使います。

評価に応じて、対策を立てます。

人的対策・物理的対策・技術的対策がありますが、資金的な兼ね合いから、最適な対策（組み合わせた対策でもよい）を立案します。

規格にある「合理的な対策」とは、個人情報の取扱いに関するリスクが明確に認識・分析・評価され、なお且つさまざまな予防処置が検討され、その中で取り得る最良の措置を講じる事です。

金さえかければ、色々な措置を講じる事が出来ますが、金をかける事により、本業が傾く事になりかねない場合や、予算が計上できないと言うことでいつまでも実行できないようなリスク対策は意味がありません。

評価したリスクについて、現状で出来る限りのリスク対策を行います。
極端な例を出すと、入退室について網膜認証を行うには莫大な設備費用がかかります。
しかし、網膜認証システムを導入すると、経常利益が全部なくなってしまう。
会社の経営が立ち行かない。
ここまではしなくていいのです。

しかし、ベストの対策が講じられないと、リスクは存在します。
これを残存リスクと言います。

残存リスクも把握しておく事により、次の対策を行う事が出来ます。

リスクは常に変化するものなので、見直しが必要になります。

プライバシーマーク 08-1 個人情報のリスクの認識 分析及び対策 リスクの認識 c)個人情報に関するリスクの認識、分析及び対策の手順に関する規程

個人情報のリスクの認識を行います。
対応規格：規格3.3.3　リスク等の認識、分析及び対策
規格 3.3.1 個人情報の特定で保護対象とした個人情報について、想定できる全てのリスクを管理する事が求められています。

• プライバシーマーク　06-1　個人情報の特定　個人情報を洗い出す。
• プライバシーマーク　06-2　個人情報の特定　個人情報を整理する。

06-1、06-2で特定した、個人情報を業務フロー等を使い、業務の内容と実際に存在する個人情報の取扱われる「個人情報の流」を明確にします。
個人情報が会社に入ってから、会社から出るまで（廃棄されるまで）のライフサイクルを明確化し、ライフサイクルの局面ごとにリスクを洗いだします。

個人情報のライフサイクルの各局面とは、以下になります。
1-取得・入力
2-移送・送信
3-利用・加工
4-保管・バックアップ
5-消去・廃棄

個人情報のライフサイクルは、取得・入力⇒送信・移送⇒利用・加工⇒保管・バックアップ⇒消去・廃棄の流れになります。

JIS Q 15001の規格では、リスクは以下の事が想定されています。
1-漏洩（外に漏れる事）
2-滅失（無くなる事）
3-毀損（壊れる事、正確性が無くなる事）
4-目的外利用
5-関連する法律、国が定める指針その他の規範に違反する事
6-想定される経済的な不利益や社会的な信用の失墜の発生
7-本人への影響の発生
これらをリスクと捉えます。

また、認識するとは、いつ、だれが、どこで、どんなときに、何を行い、どのような事をするか、どんなリスクが発生するかを明確にします。

また、法令違反によるリスク、コンプライアンス違反によるリスクも考慮に入れなければなりません。

案外見逃してしまうのが、本人の同意を得ないで取得、利用がおこなわれている事が多くあります。
目的外の取得・利用にあたりますので、リスクとして認識する事が必要です。

個人情報ごとにこのような帳票を作ると便利です。

一部抜粋して拡大しました。

一つの個人情報で、ライフサイクル毎にリスクが発生します。

ライフサイクルのリスクを認識する事が、大事なのですが、慣れるまでは時間がかかる為、数人でリスクの認識を行う必要があります。

この帳票は、グーグルドライブで公開していますので、ご自由にお使いください。

https://drive.google.com/file/d/0B1QrXfNRLBiwQjdXZDZUSm1aRlE/edit?usp=sharing

プライバシーマーク 07-3 （例） 通販事業の法令その他の指針、ガイドライン等

「PMSの作り方　03　法令、国が定める指針その他の規範を特定します」では、全体的なものでしたが、プライバシーマークの導入が必要な通販業界に絞った法令等です。

保険通販には、更に保険業法等に関連する法令、指針、ガイドラインが必要になります。
オークション等で古物を扱う場合は、古物営業法、警察庁、警視庁等が関連してきます。
アダルト関連を扱う場合には、風俗営業法、警察庁、警視庁等が関連してきます。


法令・ガイドライン

• 不当景品類及び不当表示防止法（景品表示法）
• 割賦販売法
• 特定商取引に関する法律（特定商取引法）
• 「インターネット・オークションにおける「販売業者」にかかわるガイドライン」
• 特定電子メール法

業界団体ガイドライン

• 日本通信販売協会ガイドライン

業界団体

• 日本電子商取引事業振興財団
• 一般社団法人 イーコマース事業協会
• オンラインマーク総合センター
• 社団法人日本通信販売協会

関連省庁

• 公正取引委員会
• 総務省
• 経済産業省
• e-Gov
• 消費者庁
• 内閣府
• 厚生労働省

その他団体

• 日弁連

あくまで例です。

自社にとって必要のない物が含まれている場合がありますので、取捨選択してください。

ＩＳＯは目的を明確に持つ。

ＩＳＯは目的を明確に持つ。

ＩＳＯの導入を考えたり、導入している会社さんで、ＩＳＯの目的が明確になっている会社がどれだけあるでしょうか？

なんに為にＩＳＯをやっているのか、なんの為にＩＳＯを導入するのか。

何をするにしても、目的が明確になっていないと、イメージが出来なく、ぼんやりとなんだかＩＳＯをやるっぽいよ。何のために？となりかねません。

目的が明確になっていれば、何をどう、どのレベルで管理するのか、チェックするのかがはっきりします。

規程やマニュアルや手順書等のルールをどこまで細かくするのか、詳細にするのか、何を改善するのかが明確になります。

プライバシーマーク 07-2 法令、国が定める指針その他の規範を特定する 現地審査でチェックされる事項

審査項目
個人情報の取り扱いに関する法令、国が定める指針その他の規範を特定し、参照し、維持する手順を定めている。

●参照すべき法令、国が定める指針その他の規範を、定めた手順に従い実施している。

運用確認のエビデンス
特定された法令等が明確になっていることが確認できる記録


●特定した法令、国が定める指針その他の規範について管理者の承認を定めた手順に従い実施している。

運用確認のエビデンス
特定した法令、国が定める指針その他の規範について管理者の承認が確認できる記録。


●参照すべき法令、国が定める指針その他の規範を定めた手順に従い、必要に応じて、更新し、最新版を参照できるように管理している。

運用確認のエビデンス
参照すべき法令等を特定した記録の更新履歴記録


●特定している法令、国が定める指針その他の規範が適切である。
事業者によって参照すべき法令は異なる。事業者は必要に応じて業界の関連法令やガイドライン等を特定している。
次の項目は必須。

• 個人情報保護に関する法律
• 個人情報保護に関する法律についての経済産業分野を対象とするガイドライン
• 雇用管理分野における個人情報保護に関するガイドライン
• 雇用管理に関する個人情報のうち、健康情報を取り扱うにあたっての留意事項

運用確認のエビデンス
特定された法令等が明確になっている記録


●特定している法令、国が定める指針その他の規範が必要に応じて参照できる。
①法令等をそのまま内部規程の一部として、位置づけ、文書体系をとり、規程等に取り入れている場合、従業者全員が法令などを参照できるようにしている。
②法令等が改定された時、その内容を内部規程に反映するように管理している場合は、内部規程を改訂する立場の者が参照できるようになっている。
その様な場合は、法令等の改定内容を、関連する規程等の文書にも確実に反映している。

運用確認のエビデンス
組織内での参照方法

ＩＳＯは必要最低限のことしか書かれていない。

ＩＳＯは必要最低限のことしか書かれていない。

ＩＳＯ9001：2008の規格には必要最低限のことしか書かれていません。

また、自社に適用しない項目もあります。

あくまで、指針であり、ISO9001の規格を忠実に実行しても経営改善には繋がりません。

抜けている事が多いのです。

例えば、顧客からのクレーム。

規格では7.2.3顧客とのコミュニケーションでｃ）苦情を含む顧客からのフィードバックとあり、これについて、効果的な方法を明確に実施し、実施しなければならない。

具体的に何をどうするのか？しかも管理については書かれていません。

クライアントからのクレームは会社にとって重要ですが、「フィードバック」で終わってしまっています。

会社にとって、顧客からの苦情やクレームを営業から報告されただけでは、意味がありません。

また、営業からのフィードバックが、本当に行われているかの疑問もあります。

ここでやらなければいけないのが、肉付けです。

クレームが起きたとき
①どうやって報告させるか。営業が抱えていないか。
②報告されたクレーム内容の重要度を誰が判断するか。
③判断したクレーム内容の重要度によりどう対処するのか。
④クレームに対する原因の追及を行うか、行わないか。
⑤クレームの原因は根本的な原因を追及出来ているか。
⑥クレームに対する報告書は発行するのか、口頭で説明するのか。
⑦是正処置を行うのか、行わないのか。
⑧是正処置を行った結果の確認はいつ行うのか。
⑨報告書には是正処置の確認まで必要なのか。
⑩クレームの管理はどうするのか。文書で残すのか。
⑪クレームに対して統計は取るのか。

ざっと数えるだけで、クレーム一つとっても是正処置に関する事まで出てきます。

それらをどこまで行うかは、会社で決めなくてはなりません。

フィードバックという言葉を真に受ければ、ここまでする必要もありませんが、実際にクレームに対して対処したり、それを会社の糧とするのであれば、徹底的に行う必要があります。

そこで会社や営業に対する信頼感が出たり、逆に失ってしまったり。

本当に役立てるのであれば、肉付けを行わなくてはなりません。

また、それを行うには、労力と時間、各工程業務を行っている人たちの意識変化が必要になります。

プライバシーマーク 07-1 法令、国が定める指針その他の規範を特定する 規程に盛り込む最低限必要事項 b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規程

審査項目

個人情報の取り扱いに関する法令、国が定める指針その他の規範を特定し、参照し、維持する手順を定めている。

●参照すべき法令、国が定める指針その他の規範を、定めた手順に従い特定している。

文書審査の着眼点
法令等を特定する手順を定める。


●特定した法令、国が定める指針その他の規範について管理者の承認を得ている。

文書審査の着眼点
特定した法令、国が定める指針その他の規範について管理者の承認を得ている。


●参照すべき法令、国が定める指針その他の規範を必要に応じて、更新している。

文書審査の着眼点
参照すべき法令、国が定める指針その他の規範を更新する手順を記述している。


●特定している法令、国が定める指針その他の規範が必要に応じて参照できる。

文書審査の着眼点
特定した法令などを組織内で参照する方法を定めている。

プライバシーマーク 07 法令、国が定める指針その他の規範を特定する b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規程

ＰＭＳプロジェクトチームは、事業の用に供する個人情報の取扱いに関する法令、国が定める指針その他の関連規範の有無について確認します。

自社の事業に関連する法令、国が定める指針その他の関連規範がある場合は、JIS Q 15001に優先して適用します。この為に法令、国が定める指針その他の関連規範を明確にする必要があります。

JIS Q 15001が法律を超えて適用される事はありません。

その他の規範は業界団体のガイドライン等を指します。
業界団体のガイドラインとJIS Q 15001で要求レベルの高い方を優先します。

例

• 個人情報保護に関する法律
• 個人情報保護に関する法律施行令
• 雇用管理に関する個人情報の適正な扱いを確保する為に事業者が講じるべき処置
• 雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項
• 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
• 職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が。均等待遇、労働条件の明示、求職者等の個人情報の取扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対応するための指針
• 業界に適用される法令内に個人情報に関する条文がある法令
• 自社業界の自主指針
• 所在地がある都道府県の個人所法保護条例
• 所在地がある市区町村の個人情報保護条例
• 監督省庁の個人情報保護方針
• ＪＩＰＤＥＣ個人情報保護方針

等があります。

これらが主要な法令、国が定める指針その他の規範になります。

この他に業界に適用されている法令や条例、方針等があります。

プライバシーマーク 06-4 個人情報の特定 個人情報を特定する手順 現地審査でチェックされる事項 a)個人情報を特定する手順に関する規程

審査項目
全ての個人情報を特定する手順が明確である。

●定めた手順に従い、個人情報を特定している。

現地審査の着眼点

• 定めた手順どおりに個人情報を特定している
• 個人情報の特定に漏れが無い。

運用確認のエビデンス

個人情報を管理する台帳等

●管理者の承認を得ている

現地審査の着眼点

• 定めた手順に従い、管理者の承認を得ている。

運用確認のエビデンス
個人情報を管理する台帳等

●個人情報を特定した台帳などを作成している。

現地審査の着眼点
・主要な個人情報を台帳登録している。
・台帳などで管理対象の個人情報を全て把握できる。
・台帳に以下の項目が最低限含まれている。

• 個人情報の項目
• 利用目的
• 保管場所
• 保管方法
• アクセス権限を有する者
• 利用期限
• 件数（概数）

運用確認のエビデンス

個人情報を管理する台帳等

審査項目
個人情報を管理する台帳等の更新及び定期的な見直しに関する手順を定めている。

●定めた手順に従い個人情報を管理する台帳などの更新及び定期的な見直しを実施している。

現地審査の着眼点
定めた手順に従い実施している。特に、新しく発生した個人情報、取り扱いが変更や終了した個人情報を随時台帳に更新している。
（個人情報の更新、定期的な見直しに合わせて、個人情報の棚卸を行った方がよい）

運用確認のエビデンス

個人情報を管理する台帳等

プライバシーマーク 06-3 個人情報の特定 個人情報を特定する手順 規程に盛り込む最低限必要事項 a)個人情報を特定する手順に関する規程

個人情報の特定に於いて、最低限規程に盛り込む項目は、審査でチェックされる項目です。
これが抜けていると、書類審査で不適合になります。

ここでは、判りやすいように、個人情報保護法で対応している条文も記しています。


対象になる個人情報保護法
個人情報保護法第2条第三項　個人情報取扱事業者の定義
施行令第2条　取り扱う個人情報の量及び利用方法からみて個人の権利利益を害する恐れが少ない者（※ただし、ＰＭＳでは、この条文は当てはまりません）


審査項目
全ての個人情報を特定する手順が明確である。

●定めた手順に従い個人情報を特定している事。
文書審査の着眼点

• 個人情報を特定するものを定めている。
• 個人情報を特定する方法を定めている。これには個人情報を特定する為に使用する台帳等の様式を定めている事を含む。
• ＰＭＳの構築時や新規の種類の個人情報の取り扱いが発生した時等、個人情報を特定する作業が必要になるタイミングを明確にしている。

●管理者の承認を得ている事。
文書審査の着眼点

• 特定した個人情報について管理者の承認を得る手順を定めている。

●個人情報を特定した台帳を作成している事。
文書審査の着眼点

• 個人情報を管理する台帳などの作成手順を記述している。

審査項目

個人情報を管理する台帳等の更新及び定期的な見直しに関する手順を定めている。

●定めた手順に従い、個人情報を管理する台帳等の更新及び定期的な見直しを実施している事。
文書審査の着眼点

• 個人情報の取り扱いが変更、終了した時に台帳を更新する手順を定めている。
• 具体的な時期を定めて定期的に台帳を見直す手順を定めている。

　　　　　

プライバシーマーク 06-2 個人情報の特定 個人情報を整理する。 a)個人情報を特定する手順に関する規程

洗い出し、特定した個人情報は、個人情報毎に以下の事を台帳にまとめます。
ただし、事業に使っている個人情報を洗い出します。
事業に使っていない個人情報は省きます（法人では、ほとんど事業に使っていない個人情報は無いです）。

1. 個人情報の項目
2. 個人情報の利用目的
3. 入手経路（直接、間接）
4. 社内での取扱い経路（取扱う部署）
5. 保管（一時的な保管も含む）場所
6. 保管方法（データ、紙等）
7. アクセス権を有する者
8. 個人情報の利用期限
9. 件数
10. 保管期間
11. 廃棄方法

これらを一時的に台帳にまとめます。台帳化する事により、リスクの認識・分析・対策を行いやすくなります。

あとにも使いますが、台帳の例と調査書の例です。
そのまま使われても構いません。
グーグルドライブで公開していますので、必要な方はご自由に使ってください。
使いやすいように改変可です。
改変された場合は、連絡を頂けると助かります。
今後の参考にしたいので。

https://drive.google.com/folderview?id=0B1QrXfNRLBiwZmlaVXBmUlBqYlk&usp=sharing

プライバシーマーク 06-1 個人情報の特定 個人情報を洗い出す。 a)個人情報を特定する手順に関する規程

自社が、事業の為に使っている個人情報を洗い出し特定します。

事業の為に使っている個人情報とは、

①商品やサービス等仕事で使っている個人情報
②従業者の個人情報
③採用等での個人情報
④ＰＭＳ（プライバシーマークマネジメントシステム）を運用する事により使用するようになった個人情報

これらがあります。

これらを項目ごとに洗い出します。

方法としては、
１）会社で使っている帳票（記入済み）をすべて集める。
２）個人情報が記載してある帳票と記載していない帳票を分別する。
３）データ化されている個人情報のプリントアウトを行う。
４）業務のフロー図を作成し、いつ、どの部門で、誰が、何を、どのように扱っているかを帳票と合せて記入していく。

個人情報と特定する際に、個人情報調査票など統一フォーマットで調査を行うと漏れが無く、台帳化を行いやすいです。

台帳の例と調査書の例です。

https://drive.google.com/folderview?id=0B1QrXfNRLBiwZmlaVXBmUlBqYlk&usp=sharing

そのまま使われても構いません。
グーグルドライブで公開していますので、必要な方はご自由に使ってください。
使いやすいように改変可です。
改変された場合は、連絡を頂けると助かります。
今後の参考にしたいので。


個人情報調査票を使う事により、次のライフサイクルに基づく分析が行いやすくなります。


この作業を各部門で行います。
一部門で完結できるものもあれば、複数部門で取り扱う個人情報も出てきますので、その際はインプットとアウトプットを把握します。

後は洗い出された個人情報のリスト化を行います。

ＩＳＯ9001を導入しているのに不適合製品が減らない。

とある方からメールで質問を受けました。

原因のわからない不良品・不適合の不適合報告書はどう書けばいいのか。

原因の判らない、特定できない、複数の要因等、色々あるのですが、メールを頂いた方からの、原因が判らないは、原因を突き止めていない事がメールをやり取りさせていただいて、判りました。

こう言った現象が起こった。

原因はこれだ。

これで報告書を出したそうですが、現象に対する直接的な原因で、何故その原因要素が起きたのか、さらに、その奥にある原因は何なのかを突き止めていないだけの話でした。

何度かのメールのやり取りで、なるほどっと理解していただけたので、今後メールを頂いた方の会社の該当部署は、一味違ったＩＳＯ9001を実践されるのではないかとちょっと期待したりしています。

原因が判らない、特定できないと言う不良品（不適合品）はほとんどないと言っても過言ではありません。

原因があるから、不良品（不適合品）が起きるのです。

原因が無ければ、不良品（不適合品）は起きません。

機械的な原因もあれば、人為的な原因もあれば、クライアントのご機嫌次第という原因もあります。

何かしらの原因があるから、不良品・不適合品になります。

真の原因を突き止める訓練が必要になります。

プライバシーマーク 05 個人情報保護方針を組織内に周知する

ＰＭＳプロジェクトチームは、スケジュールが出来上がり、社長が定めた個人情報保護方針を社内に個人情報保護方針の周知を行います。

社内に周知する場合、役員や正社員だけでなく、全ての従業者に周知しなければなりません。

全ての従業者には、契約社員、派遣社員、パート、アルバイトまで含みます。
期間労働者・季節労働者等事業に関わりのある全ての人の事を指します（個人情報を取扱う人たちだけではありません）。

派遣社員の場合、派遣先との関係がある為、派遣先と打ち合わせる必要があります。

また、個人情報に直接従事しない従業者であっても、組織の方針を理解させる必要があります。

周知の方法は、基本的に社長が全従業者に対して、告知を行い周知を行うのが最も効果的です（トップダウン方式）。
また、個人情報保護方針を書いた紙を貼りだす、メールで配信する、個人情報を書いた紙を各自に配布する等の方法があります。

全従業者に対する周知する場合、次の事に留意する必要があります。
1-個人情報を保護する事の重要性
2-個人情報を保護する事の利点
3-個人情報が漏洩等が起こった場合の予想される結果

これらを説明し、全従業員に周知理解させる必要性があります。
PMSを構築する際の教育でも要求されています。
これを説明するのは、社長とＰＭＳプロジェクトチームの役目です。

不適合製品が減らない

ＩＳＯ9001を導入しているのに不適合製品が減らない。

何故？？？

理由は簡単。

1-導入当初で、今まで隠れていた不適合製品が出て来たから。
2-不適合製品になった根本的な原因を追及して対策案を立てていないから。

この二種類です。

１の場合はいいことなのですが、２の場合は小手先だけの対策案になっています。

小手先だけの対策では、同じ不適合製品の発生、同種の不適合製品の発生は繰り返しておきます。

いくらその場その場で小手先の対策をしても、また不適合製品は発生します。

根本的な原因を探ってください。

原因が判らなければ、メールやコメントで書き込んでください。

お答えします。

ただし一回のやり取りでは、終わりません。

これが、根本的な原因を探る為の考え方（ヒントかな？）になります。

プライバシーマーク 04 認証付与までのスケジュールを決める

事務局は、プライバシーマークを取得する為のスケジュールを組みます。

これは大まかで構いませんが、少なくとも何年何月何日までには、審査機関に書類を出すぞ！！っと目標を決めます。

何日までにするというのが無いと、ダラダラとなってしまい、いつまでたっても終わりません。

目安として、認証取得用の書類提出までに掛かる時間は、およそ４カ月から半年です。

専従者を設けたり、コンサルタントを活用してかかる目安です。

コンサルタントによっては２カ月や３ヶ月で認証書類提出まで出来るコンサルタントもいます。
書類等のひな型を用意してくれたり、記録等の様式を用意してくれたりします。

網かけ文字などになっているところや、色つきの文字になっているところを、自社の会社名に変えて下さいというものです。

当社でも書類の作り方等の指導は行いますが、まず、会社の身の丈に合ったマネジメントシステムを作るように指導しています。

会社規模１０人の会社が、会社規模５００人の会社のひな型使ったところで、運用できるはずがありません。

会社に合ったマネジメントシステム作りが必要になってきます。

事務局のメンバーは内部監査員も兼任するので、外部の内部監査員養成講座をこの時点で申し込んでください。

プライバシーマークの内部監査員養成講座は、口座数が少ないためです。

コンサルタントを入れる場合はコンサルタントに相談してください。

コンサルタント会社で内部監査員養成講座を行っている場合もあります。

プライバシーマーク 03-1個人情報保護方針 ひな型

個人情報保護方針を作ると言っても、どういったものを作ればいいか、全く皆目見当がつかない場合もあるかと思います。
その様な場合は他の会社の個人情報保護方針を参考にしましょう。

それでもっという場合は、下記のものを参考にされても良いかと思います。


個人情報保護方針

当社は、＊＊＊＊＊業を営むにあたり、お客様個人情報を取得し、利用させていただいております。当社では社会的責任を十分に認識し、個人情報に関するリスクに対し、合理的管理策を構築し継続的に維持向上させていく為に、個人情報保護方針を定め、個人情報保護マネジメントシステムを構築し、運用する事を宣言します。

１-個人情報の取得に際しては、利用目的を明確に定め、明示し、利用目的の達成に必要な範囲内で取得させていただきます。また、利用目的の範囲内での利用を確実にするために、従業者の教育を徹底して行います。
２-個人情報に関する法令、国が定める指針その他の規範等を遵守し、個人情報保護に努めます。
３-取り扱う個人情報に関するリスクを十分に分析・認識し個人情報の漏えい、滅失又は毀損の防止を行います。また、迅速な是正処置が行える体制を構築し、これらのリスクを察知した場合、事態が発生した場合には、迅速に合理的な是正処置を講じます。
４-個人情報に関するご意見・苦情及びご相談につきましては、取得時に提示する書面・ホームページ等に苦情及び相談窓口を明示し、迅速な対応が可能な体制を構築し運用いたします。
５-本方針を頂点とした個人情報保護マネジメントシステムは技術動向、社会情勢、皆様から寄せられるご意見、苦情等の内容を十分鑑み、計画・運用・点検・見直しを継続的に行い、改善して参ります。
６-本方針は当社の従業者及び採用応募者の個人情報、上記＊＊＊＊＊業に関する個人情報以外の当社の取り扱う全ての個人情報に関しても適用いたします。

＊＊＊＊年＊＊月＊＊日
会社名
代表取締役＊＊＊＊＊社判


個人情報に対するお問い合わせは
会社の住所
会社名
個人情報の担当者
連絡方法
対応時間

プライバシーマーク 03 個人情報保護方針策定

まず、プライバシーマークを作ろうと思ったら、キックオフ宣言をします。
これは、朝礼などで、｢やるぞ！！」っと言えば十分です。
文書などに残す必要はありませんし、体制が全く整っていなく、社長の意志でキックオフ宣言は出来ます。

キックオフ宣言をしたら、適任者と思う人を事務局に任命します。
必要であれば、事務局に推進チームを作らせます。

個人情報保護責任者と個人情報保護監査責任者は取締役又はそれに近い人を選びます。
社長に何でもモノが言える立場の人を選択します。

あとは事務局と、個人情報保護責任者と個人情報保護監査責任者に進めさせます。
PMSにおける社長の代行として、個人情報保護責任者に権限と責任を委任すると進めやすいです。
この為、個人情報保護責任者には、日頃から社長と意思疎通が出来ている人が適任です。


そして、社長は個人情報保護方針を作ります。
（個人情報保護責任者や事務局に作らせても構いませんが、最終的に承認をしてください。知らぬ存ぜぬは通用しません。）


事業規模にもよりますが、大抵は、社長。大きい企業になりますと代表権を持っている人、取締役会とも解釈できます。

個人情報保護方針には以下の事を記述して文書化を行わなければなりません。
1-何のために個人情報の保護活動を行うのか。
事業内容を絡めて、個人情報保護の為に取り組む姿勢や基本的な考え方を記述します。

2-個人情報保護の為にどういった内容の活動を行うのか。
a-個人情報の取得や利用及び提供。
b-個人情報に関連する法令、国が定める指針、その他の規範を守る事。これには事業上の事業内容により関わってくる法令等もありますので、事業の内容により対象になる法令が変わってきます。また、業界団体のガイドライン等も含まれます（加入していなくても、対象となります）。
c-個人情報が漏洩、滅失、毀損、消失させないための防止策と是正。
d-個人情報の苦情や相談に対応する事。
e-ＰＭＳ（個人情報保護マネジメントシステム）の継続的改善に関する事。
以上の事をコミットメント（宣言し、責任を持って実行する事）します。

コミットメントした文書に対して、いつ、だれが責任を持つのかを明記します。
日付と社長の名前が入ります。

もちろん、誰かに指示して作らせても構いませんが、必ず目を通し、コミットする必要があります。
基本的に、トップマネジメントが作る事になっていますので、内容を知らないではダメです。

他社の個人情報保護方針を見るとよく判ると思いますが、冒頭部は、会社がPマークを何故必要とするか、うちの会社はこうなんだっと言う想いが込められる部分があります。

ですから、冒頭部分だけでも社長は、実務をする人と十分に話し合ってコンセンサスをとる必要があります。


参考までに雛型です。プライバシーマーク　個人情報保護方針のひな型


これを作ったら、社員に周知させる為、社員が集まる場所に掲示するか、社内の複数の場所に掲示します。
またプリントで配っても構いません。

周知徹底する事が必要です。


あとは事務局に任せましょう。
社長は随時、進捗状況の確認を行い、遅れているようであれば叱咤激励しましょう。
また、事務局とコミュニケーションや慰労等も忘れない様にして、事務局がやる気を出せる環境を整える事も社長の仕事です。

プライバシーマーク 02 ＰＭＳ策定のための組織を作る 事務局・プロジェクトチーム・推進チームの招集

社長か、個人情報保護管理責任者（又は両名で）事務局を召集し組織します。また事務局を拡大したＰＭＳプロジェクトチーム（推進チーム）を作ります。

事務局は、個人情報保護マネジメントシステムを進めていく上で核になる組織です。
ＰＭＳプロジェクトチーム（推進チーム）は、マネジメントシステムの構築、推進を行い、社内にＰＭＳを浸透させる役割を持ちます。

メンバーは社長、個人情報保護管理責任者、個人情報保護監査責任者、各部署の部課長クラス、ＰＣスキルの高い社員、その他事務局として入れたほうがいいかな？っと思われる人です。

各部署の部課長クラスを召集する理由は、その部署に個人情報保護マネジメントシステムを作っていく上で決定された事、伝える事、しなければならない事等、伝えなければならないからです。

また、ヒラよりもある程度の役職があった方が、強制力があります。

ただし、社長をはじめ、皆さん実務と兼任する事になりますので、上位に行けばいくほど忙しく、なかなか時間が取れないといった場合もあります。

そうした場合は各部署の部課長クラス＋補佐を入れておいた方がいいかもしれません。

また、事務局・ＰＭＳプロジェクトチーム（推進チーム）に招集した人員は内部監査員として任命します。



ここでポイント。
1-社長はＰＭＳプロジェクトチームを全面的にバックアップする事を宣言する必要があり、全社員に協力するように通達する必要があります。
通常の業務と、ＰＭＳ構築を兼任する為、ＰＭＳチームは負荷が掛かります。
その上ＰＭＳチーム以外の社員からの協力が得られない場合は、実際の業務とかけ離れたＰＭＳが出来上がる可能性があります。
これを避けるためにも、社長がバックアップし、社員に協力させる事を明確にしておかなければなりません。

2-外部からのＰＭＳ導入コンサルタントを使う場合、コンサルタントに丸投げすることも可能です。
しかしそうした場合は、社内の現実とかけ離れたＰＭＳが出来上がる可能性があります。
コンサルタントはあくまで外部の人間で業務内容を詳しくは判りません。
業界出身者とはいえ、その会社の業務内容は詳しくは判りません。
コンサルタントを利用するのはあくまで、ＰＭＳの考え方、構築の仕方、文書の作り方、システムの作り方、見直す方法、ＰＭＳに漏れが無いかの確認、スケジューリング等で活用すべきです。
コンサルタントというよりは、アドバイザーですね。


基本的には自社のメンバーで仕上げる事が理想です。


丸投げの場合、更新の時に苦労されているようです。
丸投げするのであれば、取得時の契約だけでなく、取得後のアドバイザリー契約は必要です。

ＩＳＯ 顧客満足を測る為のアンケート

よく、ＩＳＯで顧客満足を測る為にアンケートをしているのだけど、意味があるのかと聞かれる事があります。

そう聞かれた時点で、その内容のアンケートは意味がありませんと答えています。

アンケートの内容を聞かなくてもわかる事です。

何のためにアンケートを取っているのか、アンケートの結果をどう活用するのか。

そういう事を考えずに項目を作ってしまうと、なんの為のアンケートか？何のためにアンケートの回答を集計しているのか、なんの為のデータなのか。

という事になります。

それであれば、アンケートなんてしない方が良い。

面倒で、手間が掛かり、顧客の貴重な時間を無駄にしてしまう。

またアンケートだからと、適当に回答されることも多くあります。

取引先の担当者が来て、このアンケート用紙に回答してくださいっと言われ、その場で書かなければいけない場合、そのアンケート自体の有効性が疑われます。

目の前にいて悪く回答する様な事は今の日本人はなかなか出来ません。
（クレームになる様な事が起こっていれば別ですが）

そういうアンケートであればしない方が良い。

時間と手間の無駄です。

代わりに何をするのか。

顧客要求事項に対して、顧客がどう受け止めているか情報をどうやって入手しますか？入手する方法を決めて下さいね。

と規格は言っていますので、ヒヤリングで十分です。

担当者からヒヤリングを行う。もうちょっと拡大するのであれば、実際の使用者からヒヤリングを行う。

納品してから、一カ月後ぐらいに、あの製品の調子はどうですか?これで十分です。

ただし、分析して、活用する為の聞き方をしなければなりません。

次につなげる為に、お客さんが満足してくれているのか、不承不承使っているのか、改良点があるのか等々、会社が必要とする情報を引き出す為のヒアリングをしなければなりません。

何が目的でアンケートを行うのか、アンケートの結果を集計し、分析し、その結果をどう役に立てるのか。

この要素を含んでいないアンケートであればやっても意味がありません。

「アンケートやってまして、ほら、皆さん満足してますよ～」

では、自己満足の世界です。

ＰＤＣＡが回りません。

自己満足の為ならやらない方が良いです。

それでは次につなげることが出来なくなります。

プライバシーマーク 01-2 任命 個人情報保護監査責任者の仕事

個人情報保護監査責任者は、監査を指揮して、監査報告書を作成し、社長に報告します。

また、監査員の選定を行います。

監査時には、公平性や客観性をもとに監査員を選びます。

ＩＳＯが機能しない原因

ＩＳＯがお荷物になってしまって全く機能していない。

更新審査や、サーベランスの前に慌てて体裁だけの書類を作っている。

事故やミスが一向に減らない。

何のためにＩＳＯをやっているのか判らない。

こんな事ってありませんか？

ＩＳＯの看板だけが目的で取得しているという会社では、こんな悩みもないと思いますが、ＩＳＯで何とか経営改善をしたい、事故やミスを減らしたい、売上を上げたい等目的を持って、ＩＳＯの導入を行ったにもかかわらず、ＩＳＯが機能しない。

何故なんだ?

思い出してみてください。

ＩＳＯの導入を行っていた時を。

コンサルタントの言うままにしていませんでしたか？

コンサルタントから与えられた文書のひな型をそのまま流用しませんでしたか？

取り組みが大変だからと、体裁だけを整えるに終始していませんでしたか？

短期間で取りたいと、コンサルタントに投げっぱなしにしませんでしたか？

導入目的を社員や従業者に説明しましたか?

一部社員に投げっぱなしにしていませんか？

自社に合ったシステムを構築しましたか？



ＩＳＯは補助ツールです。

ＩＳＯ至上主義だとうまく行きません。

コンサルタント側にも問題があり、

手離れよくしたい＝体裁だけ整えさせよう。

相手の負担を楽にさせたい＝うわべだけのシステムを押し付けておこう。

とりあえず、書類は全部ひな型使わせよう。

値段が安いからこの程度のシステムだな、等等

コンサルによっては、ＩＳＯを相手が判っていない事をいい事に、会社をかもにしたり手玉にしたりしています。



会社の実態に合っていないＩＳＯのシステムを導入して、上手く行くはずがありません。

ＩＳＯは経営改善のためのツールですから、ＩＳＯを活用するというスタンスでないと上手く行きません。

また、ＩＳＯで言っているのは必要最低限のことだけですので、必要最低限の事をすれば効果が出るのかという問題もあります。

本来それをフォローするのがコンサルタントなのですが、そこまで考えているコンサルタントが何人いる事か。



また導入当初は、調子が良かったが、何年か経ったら、上手く回らなくなったと言う場合もあります。

それは実情に合わせてシステムを変えていないからという事が原因になります。

無駄な金をかけたくないと言う事で、取得後のコンサルティングを契約しない会社がほとんどです。

取得後の方が大事ですので、本来であれば、そこからがコンサルタントの面目躍如なのですが、認証を取って安心、認証後のコンサルは無駄金と考えてらっしゃる方も多いようです。

その為にシステムの随時見直しがうまく行かなくなり、機能しなくなり始めると言うこともあります。

ＩＳＯの認証取得は、極端な話、コンサルなしでも取れます。

大事なのは認証取得後です。

如何に上手くシステムを回し続けるかも大事ですが、ＩＳＯの認証を取得した目的を達成する為には何をし続けなければならないか。

目的なく認証取得を始めてしまった（関連会社や親会社からの命令で）という場合は、目的を新たに作りましょう。

どうせあるシステムですので、上手く活用する方法を考えましょう。

何のためにＩＳＯをやっているのか？

それを考えたら、ＩＳＯはうまく機能します。

ただし、それまであったシステムを一度作り変える必要が出てきます。

その時は、自社でシステムを作り直すか、新たにアドバイザー的なコンサルタントを雇うか。

ＩＳＯに精通した人を社員として迎えるか。

資源の運用管理に関わってきますね。

ＩＳＯがうまくいかない、メリットがない、やってても無駄と思ったのであれば、認証返上するのも手です。

意味がないものに投資する必要はないですよね。

しかし本当に、ＩＳＯに取り組み、ＰＤＣＡを回して、上手く行かない、メリットがない、やってても無駄と思ったのでしょうか？

そのＰＤＣＡ本当にＰＤＣＡとして回っていますか？

小手先だけの解決方法を行っていませんか？

体裁だけ整えていませんか？

返上する前にもう一度考えてみてください。

上手く行かない理由、メリットが見いだせない理由、やってても無駄と思う理由があるはずです。

そこがミソです。

それを改善するのもＩＳＯ。

ＩＳＯは難しくもないし簡単でもない。

取り組む姿勢によって変わってきます。